Crie senhas fortes e longas

Atualizado11 November 2021

Índice

...Carregando Tabela de Conteúdos...

    A segurança das suas informações e identidade depende, em grande parte, das senhas que você escolhe. Por vezes, atacantes estão bem cientes disso e empregam diversos métodos para tentar descobrir as suas senhas.

    But you can defend against those tricks by applying a few important tools and tactics. The most effective strategy is to make passwords that are LONG, RANDOM, and UNIQUE. To do this reliably, you will need to use a secure password manager. It is also important to set up multi-factor authentication whenever possible.

    Descubra se as suas senhas foram vazadas

    • Pesquise em "Have I Been Pwned" para ver se as suas contas foram relatadas como vazadas.
      • Assim que identificar que qualquer uma das suas senhas foram vazadas, não hesite em alterá-las imediatamente, seguindo as orientações para utilizar um gerenciador de senhas abaixo.
    • Mesmo que você não identifique nenhuma de suas contas listada aqui, siga as orientações a seguir, pois várias violações de contas não são relatadas.
    Saiba porque recomendamos isso

    Invasores estão constantemente em busca de senhas que tenham sido comprometidas e estão disponíveis na internet. Eles testam várias senhas em suas contas até encontrarem a correta para obter acesso. Portanto, reutilizar a mesma senha representa um risco. Verifique o "Have I Been Pwned" para verificar se as suas senhas estão em alguma das listas que os invasores utilizam.

    Evite padrões comuns de senhas fracas

    Aqui estão as maneiras mais comuns que atacantes usam para descobrir suas senhas:

    1. Podem adivinhar sua senha:
      • Usando informações pessoais, como datas importantes, nomes, citações famosas, músicas ou autores que você gosta
      • Usando um dicionário tentando todas as palavras e variações
      • Alterando senhas que você já usou anteriormente
      • Recorrendo a softwares para testar todas as combinação possíveis para quebrar suas senhas
    2. Podem estar procurando:
      • Onde suas senhas estão escritas (como anotações pela sua mesa)
      • O que você está digitando na sua senha
      • Senhas que já foram vazadas e estão disponíveis na internet
    3. Podem tentar enganar você:
      • Instalando um malware em formato de aplicativo para capturar sua senha
      • Fazendo você digitar a sua senha em uma página de login falsa por meio de phishing
      • Conseguindo suas senhas ou outras informações fingindo ser uma pessoa de suporte ou alguém que você conhece (também conhecido como engenharia social)
    4. Podem explorar vulnerabilidades:
      • Hackear o site que tem a senha que você usa
      • Roubar a sua senha se ela estiver armazenada no seu navegador
      • Roubar a senha de aplicativos que você usa no seu telefone

    Siga estas diretrizes para se proteger contra essas abordagens:

    • Certifique-se sempre de utilizar um dispositivo limpo, atualizado e confiável ao acessar suas contas e informações sensíveis.

    • Esteja ciente de que as seguintes estratégias, por si só, NÃO tornam suas senhas seguras:

      • Usar palavras ou números relacionados a você, a pessoas ou coletivos ao seu redor, como:
        • nomes de pessoas, animais, ou organizações
        • datas de aniversários, datas importantes ou feriados
        • número de telefones ou endereços
        • ou qualquer outra informação que alguém possa descobrir pesquisando sobre você e as pessoas ao seu redor
      • Usar frases comuns, como citações famosas, letras de músicas e poemas.
      • Substituir alguns caracteres por símbolos semelhantes (por exemplo, substituir "a" por "@", etc.)
      • Colocar pontos de exclamação, números ou outros sinais de pontuação no final
      • Começar Cada Palavra Com Letras Maiúsculas
      • Usar palavras "únicas" de um dicionário
      • Mudar de senhas frequentemente

    Siga estas diretrizes para se proteger contra essas abordagens:

    Usar um gerenciador de senhas

    • Use o KeePassXC (para Linux, Mac ou Windows), KeePassDX (para Android), ou StrongBox (para iOS).
    • NÃO reutilizar senhas.
    • Configure o gerenciador de senhas para gerar e salvar senhas longas, aleatórias e única para cada um dos seus logins.
    • A ideia de configurar gerenciadores de senhas com seus colegas pode ser uma boa sacada. Vocês podem se ajudar durante o processo.
      • É uma boa ideia se instruir sobre o processo de compartilhamento seguro de senhas. No entanto, sempre que possível, é mais seguro salvar logins separados para diferentes contas, em vez de depender de uma única conta e compartilhar a senha.
    • Leia nossos guias sobre KeePassXC e KeePassDX.
    • Se você precisa de um gerenciador de senhas online, veja a seção abaixo.
    Saiba porque recomendamos isso

    Nenhum cérebro humano é poderoso o suficiente para criar e lembrar senhas longas, aleatórias e únicas o suficiente para manter todos os dispositivos e contas seguras. Um gerenciador de senhas gera e armazena essas senhas para você, protegendo-as com criptografia.

    Recomendamos o uso do KeePassXC, KeePassDX, e StrongBox. São gratuitos, foram verificados como seguros por especialistas da comunidade e continuam sendo atualizados. Eles armazenam senhas em um banco de dados offline, o que significa que você tem controle sobre onde os dados são armazenados e como são gerenciados.

    Faça backup do banco de dados do seu gerenciador de senhas

    Saiba porque recomendamos isso

    Assim como qualquer senha individual, a perda de várias de suas senhas de uma só vez pode resultar em estresses ou até mesmo em uma perda catastrófica de comunicação de seus contatos e finanças. Portanto, realize backups regulares do seu banco de dados.

    Lembre das suas chaves mestras

    • Use o método diceware no seu gerenciador de senhas, para que você lembre delas e as mantenham guardadas (como a senha para desbloquear seu gerenciador de senhas ou dispositivos):
      • Tenha uma lista de palavras numeradas e alguns dados.
      • Role os dados seis vezes para obter seis dígitos (por exemplo, 6, 2, 5, 1, 1, 4).
      • Use a palavra na lista com o número correspondente.
      • Repita isso cinco vezes. Use essas cinco palavras como uma "frase de acesso" para um login.
        • Não reutilize a frase de acesso para mais nada.
      • Em seguida, crie uma imagem mental usando as palavras, na ordem, o que te ajudará a lembrar da frase.
    • Pratique digitar essas senhas regularmente, diariamente no início e depois pelo menos uma vez por semana. A repetição te ajudará a memorizar essas senhas.
    Saiba porque recomendamos isso

    Algumas senhas, como a senha mestra para o seu gerenciador de senhas, você precisará memorizar. Existem estratégias que podem auxiliar na criação de senhas que sejam fáceis de lembrar, mas extremamente difíceis de serem adivinhadas, mesmo por um atacante com conhecimento e com um software de "quebra de senha".

    Se houver senhas ou códigos de backup que você precisa manter fora do seu gerenciador de senhas

    • Se você precisa escrever senhas num papel, armazene-as em um local seguro, como um cofre ou gaveta de mesa com tranca.
      • É importante que suas senhas não estejam visíveis para observadores casuais ou sejam facilmente encontradas e copiadas.
      • Não as guarde na sua carteira.
    • Certifique-se de destruir minuciosamente qualquer cópia de papel com senhas ou códigos de backup assim que não forem mais necessários.
    • Alternativamente, mantenha essas senhas em outro dispositivo. Você pode escondê-las entre outras anotações sem explicação ou descrição.
    Saiba porque recomendamos isso

    Senhas longas podem ser difíceis de lembrar. Para senhas que você não pode salvar no seu gerenciador de senhas (como as para desbloquear seus dispositivos), você pode escrevê-las e guardá-las em algum lugar com tranca.

    Se você decidir usar um gerenciador de senhas online

    • Evite armazenar informações de contas altamente sensíveis (como logins de contas financeiras ou de recuperação) no banco de dados online.
    • Proteja o acesso do seu banco de dados online com autenticação de dois fatores.
    • Nós recomendamos o Bitwarden como gerenciador de senhas online.
    Saiba porque recomendamos isso

    Os gerenciadores de senhas online que sincronizam automaticamente com outros dispositivos, podem ser mais fáceis de utilizar. Eles armazenam a sua base de dados de senhas encriptadas em servidores. No entanto, gerenciadores online apresentam o risco de um atacante poder desencriptar a sua base de dados e acessar suas senhas sem que você saiba.

    Recomendamos o KeePassXC, KeePassDX, e StrongBox porque eles não armazenam sua base dados online. Mas se você optar por usar um gerenciador online, recomendamos você seguir alguns passos para proteção de senhas.

    Se você precisar compartilhar senhas

    • Evite compartilhar senhas quando possível:
      • Se precisar compartilhar uma senha com algum amigo, familiar ou colega de trabalho, altere-a para uma senha temporária e aí sim, compartilhe. Altere-a novamente para algo seguro quando terminarem de acessar.
      • Crie contas separadas para cada indivíduo que necessite de acesso; alguns serviços disponibilizam esta opção. Pode limitar o que estas contas estão autorizadas a fazer e o que podem ver. Consulte os guias de segurança básicos para Android, iOS, Linux, Mac e Windows para obter instruções sobre como fazer isso.
      • Configure seu gerenciador de senhas para que você possa usá-lo de forma colaborativa. O KeePassXC torna isso possível.
    Saiba porque recomendamos isso

    Cada vez que você compartilha uma senha, é quase como se tivesse feito uma cópia da sua chave e a entregado, ou como se tivesse deixado portas e janelas abertas para possíveis furtos. Na verdade, é mais arriscado do que isso, porque muitas de suas 'portas' e 'janelas' podem ser facilmente acessadas por dispositivos de longe, sem que você perceba. Reduza essa 'superfície de ataque' de portas abertas evitando compartilhar senhas sempre que possível.

    Não forneça sua senha quando alguém enviar um email, ligar ou mandar mensagens para você

    • Vá para o aplicativo ou site do serviço que supostamente enviou a mensagem para verificar a solicitação.
    • Se parecer que é uma mensagem vinda de uma fonte que você conhece, entre em contato com eles por outro canal para verificar se eles fizeram a solicitação.
      • Por exemplo, se foi um e-mail, ligue para eles.
      • Não clique nos links no email, tampouco responda.
    • Fique alerta quando receber uma mensagem que tente te assustar, despertar sua curiosidade, fazer você sentir que perderá alguma oportunidade ou agir rapidamente sem pensar. Em vez disso, faça uma pausa, reflita melhor e encontre outras maneiras de verificar mensagens desse tipo.
    Saiba porque recomendamos isso

    Atacantes frequentemente se passam por entidades falsas, como bancos ou representantes de suporte técnico, para nos persuadir a fornecer informações sensíveis. Eles também jogam com nossas emoções e natureza humana para nos induzir a compartilhar senhas quando não deveríamos.

    Se você receber uma ligação, e-mail ou mensagem que solicite sua senha ou outras informações sensíveis, ou se um link em um e-mail ou mensagem de texto que você clicar pedir essas informações, é muito provável que alguém esteja tentando te aplicar um golpe.

    Quando mudar sua senha

    Change your password immediately when:

    • it appears your account, devices, or colleagues and people around you have been victims of a breach.
    • you get a credible warning from the services you use that there was an attempt to log in from an unauthorised device or location.
      • Look for news reports about breaches.
      • If you receive an email or alert, double-check on the service provider's own website that they sent the alert.
    • you entered your password on an untrusted, shared, or public device (it might have malicious code installed).
    • you are concerned that someone watched you type your password.

    Minimize os danos alertando outras pessoas que também podem ter sido afetadas.

    Consulte nossos guias sobre redes sociais e os guias básicos de segurança para Android, iOS, Linux, Mac, e Windows para obter instruções sobre como alterar as senhas do seu dispositivo.

    Saiba porque recomendamos isso

    A pesquisa mostra que mudar sua senha repetidas vezes não necessariamente melhora a segurança. Quando as pessoas são obrigadas a trocar de senha com frequência, tendem a fazer apenas pequenas alterações na senha, em vez de criar uma senha totalmente nova. Leia mais sobre a pesquisa aqui.

    É mais importante mudar suas senhas quando ocorre uma violação de dados. Como nem sempre sabemos quando ocorre um vazamento de dados, recomendamos trocar as senhas a cada poucos meses a um ano ou imediatamente se houver suspeitas de comprometimento.

    Atente-se ao local onde você está e quem pode ver

    • Se você estiver em um espaço público e for digitar sua senha, observe se pode ser visto ou filmado por alguém.
    • Verifique se alguém está observando seu teclado ou telefone enquanto você digita suas senhas.
    • Use película de privacidade para dificultar a visualização do conteúdo que digita.
    Saiba porque recomendamos isso

    É possível que antagonistas estejam monitorando e gravando o processo de digitar senhas. Há o exemplo de uma ativista cujo telefone celular foi confiscado sob alegações falsas de sedição. Seu celular estava bloqueado com uma senha que ela se recusou a fornecer, mas os promotores conseguiram desbloquear e acessar seus dados estudando sua rotina diária. Eles identificaram uma câmera de segurança no elevador de sua residência e obtiveram um vídeo dela digitando as senhas.

    Use autenticação de dois fatores (2FA ou MFA)

    • Veja quais serviços oferecem 2FA.
    • É crucial configurar a autenticação de dois fatores (2FA) para:
      • suas contas bancárias ou aplicativos financeiros
      • contas como seu endereço de e-mail, redes sociais ou contas que você precisaria para recuperar outras contas
    • Suas opções de 2FA:
      • Usar um aplicativo ou programa autenticador como Google Authenticator, Okta ou Duo. Recomendamos o aplicativo Aegis no Android ou o aplicativo Raivo OTP no iOS/iPhone.
        • Ao usar essa opção, é importante proteger seu celular contra malware.
      • Usando um dispositivo de hardware, tipo um token de segurança, dongle ou "chave" USB, que você pode conectar ao seu dispositivo ou configurar para usar NFC (comunicação por campo de proximidade).
        • Alguns exemplos são Yubikey, Nitrokey, Google Titan Key e Thetis Key
        • Dispositivos de hardware não são compatíveis com celulares.
    • Você pode usar um aplicativo de autenticação ou um dispositivo de hardware para diversos serviços ou então configurar serviços diferentes com formas distintas de autenticação de dois fatores para uma camada adicional de segurança.
    • Uma vez configurado o dispositivo para autenticação de dois fatores, as duas opções acima não precisam de uma conexão com a internet para gerar códigos. No entanto, a autenticação de dois fatores via e-mail exige uma conexão com a internet.
    • A opção mais segura de autenticação de dois fatores é o uso de um aplicativo de autenticação ou dispositivo de hardware, seguido pelo e-mail e, por fim, o SMS. É importante notar que o SMS pode não ser confiável em situações de viagem para outros países ou em áreas sem cobertura.
      • As mensagens de texto SMS não contam com criptografia, e houve incidentes em que atacantes conseguiram interceptar com êxito esses códigos únicos enquanto eles eram transmitidos para o telefone da vítima.
    • Uma vez que você tenha ativado a autenticação de dois fatores (2FA), sempre que inserir seu nome de usuário e senha, será necessário fornecer essa forma extra de verificação de identidade. Isso pode envolver inserir sua chave, um código gerado por um autenticador ou o código que lhe foi enviado.
    • Após configurar a autenticação de dois fatores, evite desativá-la. Embora alguns serviços possam oferecer a opção de desativação temporária por comodidade, leve em consideração o impacto que isso pode ter em sua segurança.
    Saiba porque recomendamos isso

    A segurança dos logins é reforçada quando você implementa várias camadas de proteção. A autenticação multifatorial ou de dois fatores (MFA ou 2FA) usando outro dispositivo ou e-mail, oferece essas camadas adicionais de segurança. Se a primeira camada de proteção for violada, a segunda pode te proteger. É importante lembrar que, embora muitos achem conveniente, o uso de mensagens de texto (SMS) como método de 2FA é a opção menos segura.

    Embora a autenticação de dois fatores (2FA) possa parecer um passo extra chato, é importante reconhecer que o que você considera inconveniente é uma barreira significativa para qualquer pessoa tentando invadir suas contas. Ter suas contas roubadas, sequestradas ou monitoradas por pessoas maliciosas seria um inconveniente muito maior a longo prazo.

    Mantenha os códigos de backup da autenticação de dois fatores (2FA) seguros e separados

    • Se você recebeu códigos de backup ao configurar a autenticação de dois fatores (2FA), armazene esses códigos em um gerenciador de senhas.
    • Para manter esses códigos separados de outras informações que poderiam ser usadas para acessar suas contas, crie um banco de dados separado no KeePassXC e salve-o em outro dispositivo.
    Saiba porque recomendamos isso

    Ao habilitar a autenticação de dois fatores em serviços online, você receberá uma lista de códigos de backup. Esses códigos são uma garantia caso você perca o acesso ao dispositivo de autenticação. Mantenha esses códigos de backup em um local seguro, pois se necessário, eles são as chaves de acesso para as suas contas e qualquer pessoa com sua senha pode usá-los.

    Evite desbloqueio por impressão digital ou reconhecimento facial (biometria)

    • Se você configurou o desbloqueio do seu dispositivo com sua face ou impressão digital, é recomendável alterar as configurações para usar o desbloqueio por senha em vez disso.
    • Consulte os guias de segurança básica para Android, iOS, Linux, Mac, e Windows para obter instruções sobre como fazer isso.
    Saiba porque recomendamos isso

    A autenticação biométrica, que utiliza impressões digitais ou reconhecimento facial, pode facilitar o acesso aos seus dispositivos. No entanto, é geralmente considerada menos segura em comparação com senhas tradicionais. A principal desvantagem é a incapacidade de alterar suas características biométricas quando necessário. Além disso, em situações onde você é obrigado a fornecer informações biométricas, como em aeroportos ou órgãos governamentais, há um risco potencial de acesso não autorizado às suas contas. Se te restringirem fisicamente ou te forçarem, pode ser ainda mais fácil desbloquear dispositivos protegidos por biometria.

    Configure perguntas de recuperação seguras

    Muitos serviços da web pedem "perguntas de segurança" ou "perguntas de recuperação" ao criar uma conta. Para tornar mais difícil que consigam adivinhá-las: - Forneça respostas falsas e não relacionadas a essas perguntas. - Você pode até usar outro código aleatório e exclusivo gerado pelo seu gerenciador de senhas. - Salve suas respostas e outras informações falsas no seu gerenciador de senhas para não haver o bloqueio.

    Saiba porque recomendamos isso

    Recovery questions are important to helping services verify your identity if they suspect someone else is trying to access your account. You use these answers to change your password in case you lose access to your account. Unfortunately, your answers to questions like "What town were you born in?" or "What is your pet's name?" can be easy to find online. By giving fake answers, you can make it harder for an attacker to hijack your account.

    Leitura extra